学文网【摘要】 入侵检测是网络安全的一个重要组成部分,它通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并做出适当响应。它在传统技术的基础上,实现了检测与响应,使得对网络安全事故的处理由原来的事后发现发展为事前报警、自动响应。阐述了入侵检测技术的研究历史与背景,入侵检测的原理及方法,并讨论了该领域尚存的问题及其发展方向。
【关键词】 入侵检测;技术研究
随着网络技术在各行业的迅猛发展,计算机网络在给人们工作和生活带来方便的同时,也使信息安全面临着严峻的挑战。互联网用户的增加,网上电子商务的兴起、操作系统和软件缺陷等问题使得系统受到攻击入侵的可能性越来越大。传统的网络安全措施一般采用防火墙作为安全屏障,随着网络攻击技术的日趋成熟,攻击工具与手段日趋复杂多样,加之防火墙自身存在不足,使得单纯的防火墙策略难以满足对安全高度敏感部门的需要。为了弥补防火墙存在的不足,引入了入侵检测(Intrusion Detection System)技术。
一、入侵检测技术概述
入侵检测(Intrusion Detection,ID),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为或攻击迹象。入侵检测的研究最早可以追溯到1980年,James P.Anderson在为美国空***做的题为《计算机安全威胁监控与监视》的技术报告中,首先提出了入侵检测的概念。他将入侵划分为外部闯入,内部授权用户的越权使用和滥用三种类型,并提出用审计追踪来监视入侵威胁。对威胁进行了分类,并对审计子系统提出了改进意见,以便该系统可以用于检测误用。1984年到1986年间出现的入侵检测专家系统(Intrusion Detection Expert,IDES)实时模式的入侵检测系统,标志着入侵检测系统的诞生。
入侵检测的主要功能是对用户和系统行为进行监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别,也就是说入侵检测是为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。入侵检测的目的:识别入侵者;识别入侵行为;检测和监视已实施的入侵行为;为对抗入侵即时提供重要信息;使系统恢复正常工作,同时收集证据。入侵检测技术按照检测类型可以分为两大类型:异常入侵检测(Anomaly detection)和误用入侵检测(Misuse detection)。
二、入侵检测技术原理
1.异常入侵检测原理。异常检测是根据系统或用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。异常检测需要建立正常用户行为模式库,然后通过被检测系统或用户的实际行为与正常用户行为模式库之间的比较和匹配来检测入侵,如果不匹配则说明该行为属于异常行为。异常检测依赖于正常用户行为模式库的建立,不同行为行为模式库构成不同的检测方法。异常检测技术难点是正常行为模式库的确定、特征量的选取、模式库的更新。由于这几个因素的制约,异常检测的误警率很高,对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户模式库所需的计算量很大,对系统的处理性能要求很高。
2.误用入侵检测原理。误用入侵检测是指根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中的缺点攻击,这些弱点易编成某种模式,如果入侵者攻击方式恰好匹配上检测系统模式库则会被检测到。由于误用检测需要根据一组事件的签名进行匹配,每一种攻击行为都要用一个***的事件签名区描述,又称为基于签名的检测。误用检测的基本前提是假定所有可能的入侵行为都能被识别和表示,这种方法由于依据具体特征库进行判断,检测准确度很高。它的局限性在于:对于未知的入侵方法不能进行有效的检测,漏报率比较高;对于不同实现机制的操作系统,攻击的方法不尽相同,很难定义出统一的模式库;误用检测技术难以检测出内部人员的入侵行为。
三、入侵检测方法
1.异常入侵检测技术。此类技术是建立在以下假设基础上,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户的活动规律而被检测出来。描述正常或合法活动的模型是从对过去通过各种渠道收集到的大量历史活动资料的分析中得出来的,定义成可接受的行为。如果系统收集的网络活动信息与可接受行为之间有偏差,偏离了正常的模型状态,每项不可接受的行为就应该是入侵。下面讲述几种异常检测的方法:
(1)统计异常检测方法。基于统计的异常检测方法是根据异常检测器观察主体的活动后,产生刻画这些活动的行为模式库。每个行为模式库保存记录主体的当前行为,并定时地将当前的特征数据与行为模式库中的数据合并,通过比较当前的行为与已建立的行为数据来判断异常行为。在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。
(2)基于数据采掘异常检测方法。随着知识发现(KDD)技术的发展,数据挖掘己经被应用于许多数据处理领域。数据挖掘技术是一种数据处理方法,用于处理大量数据。可以使用数据挖掘技术对网络及日志数据进行处理,实现入侵检测规则库建立的自动数据聚集与特征选择。把数据挖掘方法中的支持向量机和粗糙集应用到入侵检测算法中,以期提高入侵检测系统的实时性和准确性。数据挖掘应用于入侵检测的研究检测框架根据数据源分为基于网络信息、基于主机日志信息的和基于报警信息的检测,基于不同数据源的入侵的检测。入侵检测的数据挖掘的关键在于收集到网络的原始数据后,如何从大量的原始数据属性中有效地区分正常行为和异常行为,以及如何自动有效地生成入侵规则。关联分析数据挖掘算法可用于发现网络连接记录各属性之间的关系,运用关联分析方法提出攻击者入侵行为之间的关联特征。使用关联分析数据挖掘和聚类分析数据挖掘算法可以得到正常行为的模式,用于异常入侵检测。入侵检测模型的数据挖掘过程:首先收集完备的网络行为数据集,使用关联分析数据挖掘和聚类分析数据挖掘算法对正常活动集进行挖掘,构造正常活动简单档案,得到正常行为的模式用于异常入侵检测,然后利用前面得到的正常行为模式对这些入侵数据做进一步过滤,最后使用分类算法做规则挖掘,进一步识别出正常行为和入侵行为,生成基于异常检测的模式数据库,并不断根据新获得的数据更新数据库,以用于异常检测。
2.基于模式匹配的误用检测方法。基于模式匹配的入侵检测方法是将已知的入侵特征编码成与审计记录相符合的模式,当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式,这种方法的优点是只需要收集相关的数据集合,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率相当高。这种方法应用起来很简单,但是不灵活。模式匹配是较早被使用的入侵检测系统的一种分析方法,基本原理是在一个单独的数据包中寻找一串固定的字节。模式匹配就是将收集到的信息与已知的网络入侵方式和系统误用模式进行比较,找到匹配的攻击特征。它的工作过程如下:(1)从网络上捕获数据包;(2)对捕获的数据包的包头进行攻击特征比较;(3)如果比较结果相同,则检测到一个可能的攻击;(4)如果比较结果不同,则从数据包的下一个位置进行比较;(5)网络数据包中的所有字节匹配完毕,一个攻击特征匹配结束;(6)重复步骤2,对下一个攻击特征进行匹配;(7)直到每一个攻击特征匹配完毕,该数据包的匹配完毕;(8)对下一个捕获的数据包进行分析。 这种入侵检测的方法主要缺陷在于:对海量数据的处理能力不足使得误用检测所需时间过长,特征库中每增加一个特征,就会大大增加计算机的运算量,不符合实时性的要求;模式匹配方法检测的精确性差,容易导致漏报。
四、基于规范的入侵检测方法
基于规范的入侵检测方法,是指一种介于异常检测和误用检测之间的入侵检测方法,其基本原理是,用一种策略描述语言定义系统特权程序的有关安全的操作执行序列。每个特权程序都有一组安全操作序列,这些操作序列构成特权程序的安全跟踪策略。若特权程序的操作序列不符合已定义的操作序列,就进行入侵报警。其优点是,不仅能够发现已知的攻击,也能发现未知的攻击。
五、目前入侵检测技术尚存的问题及其发展方向
随着网络安全问题的日益突出,入侵检测技术作为保护计算机系统安全的重要组成部分受到越来越多人们的关注和重视,并已经开始在各种不同环境中发挥关键作用。可以预见,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响。在入侵检测技术发展的同时,入侵技术也在更新,黑客组织已经将如何绕过入侵检测系统或攻击入侵检测系统作为研究重点。目前入侵检测技术尚存在以下问题:(1)网络规模和分布的复杂性不断增加,使得入侵检测系统收集到的信息难以集成融合,给分析数据加大难度。并且处理数据的速度一直是入侵检测系统的瓶颈;(2)作为一种检测技术,主动防御功能不强;(3)高误报率和漏报率;(4)入侵检测系统自身的抗攻击能力不强。
IDS的研究涉及诸多方面:体系结构、操作系统、通信技术、检测技术和响应、恢复策略等。这些方面的进展都会促进IDS研究的逐步深入。
(1)大规模分布式的检测技术。传统的集中式IDS的基本模型是在网络的不同位置放置多个探测器收集网络状态的信息,然后这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷,它局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。不同的入侵检测系统之间不能协同工作,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构技术。
(2)运用高速网络处理器。网络处理器***于CPU之外,专门为处理网络分组而开发,为上层提供了一个可编程控制的环境,能够满足网络高速发展的需求。它还具有专门的指令集和配套的软件开发系统,具有很强的编程能力,便于开发新的应用,可以满足入侵系统多样化的趋势,从而提高入侵检测的速度。
(3)与其他网络安全技术协同防御入侵。IDS需要结合防火墙、PKIX、安全电子交易(SET)等新的网络安全与电子商务技术安全技术协同防御,共同来保障网络安全。
(4)研究应用层入侵检测技术。目前的人侵检测系统仅能检测如Web之类的通用协议,而不能处理如数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(5)将入侵检测系统的研究推广到无线网络之中。入侵检测提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全增加一道屏障。IDS产品在网络安全产品中的市场也稳步上升,在有效防御入侵等方面作用越来越重要。但入侵检测技术还面临着许多新的问题,在很多方面还很不成熟和完善,这些都有待于我们的进一步研究。
参考文献
[1]沈鑫剡.计算机网络安全[M].北京:清华出版社,2009
[2]邓亚平.计算机网络安全[M].北京:人民邮电出版社,2004
[3]夏寒.入侵检测系统的设计与实现[D].上海:上海交通大学.2007